Hallo,
ich bin gerade dabei eine Firewall zu konfigurieren und suche Infos zu Destination NAT. Leider konnte ich im Netz keine konkreten Anleitungen haben.
Was haben wir vor:
Firewallrechner mit zwei Netzwerkkarten, eine für extern (registrierte Adressen) und eine für intern (private Adressen). Das ganze wird wie folgt an das interne Netz gehängt:
Internes Netz+Server (192.168.1.x) <-interner Router-> DMZ-Server 192.168.2.x <-Firewall Router-> 62.x.x.x <-Telekom Router-> Internet
Auf Firewall Router haben wir nun Suse 8.1 und wollen die DMZ-Server nur per DNAT ansprechen. Das heißt es findet kein direktes Routing statt, und die eigentlich IPTables Filterung bräuchten wir auch nicht. Nur ein DNAT nach dem Schema:
externe Anfrage an 62.160.34.2 Port 80 wird vom Firewall Router per DNAT umgesetzt nach 192.168.2.2 Port 80
Kann mir jemand sagen, wir der IPTables Befehl für dieses Beispielschema lauten müßte? Und mit welchem IPTables Befehl kann man DNAT Einträge kontrollieren? Über iptables -L werden die nicht angezeigt.
Gibt es eigentlich eine GUI für IPTables? Ich habe kein X-Windows installiert.
Destination NAT konfigurieren
-
andi
Re: Destination NAT konfigurieren
Iptables Rule:
iptables -t nat -A PREROUTING -p tcp -d 62.160.34.2 --dport 80 -j DNAT --to-destination 192.168.2.2:80
>Und mit welchem IPTables Befehl kann man DNAT Einträge kontrollieren? Über iptables -L werden die nicht angezeigt.
Möglicherweise mit -L -v
Weiss ich aber nicht 100%ig
vg
iptables -t nat -A PREROUTING -p tcp -d 62.160.34.2 --dport 80 -j DNAT --to-destination 192.168.2.2:80
>Und mit welchem IPTables Befehl kann man DNAT Einträge kontrollieren? Über iptables -L werden die nicht angezeigt.
Möglicherweise mit -L -v
Weiss ich aber nicht 100%ig
vg
-
Markus
Re: Destination NAT konfigurieren
Hallo,
die Regel bekomme ich jetzt rein, aber leider kommt nichts durch. Greift sich die Firewall automatisch anfragen an die exteren Adresse oder muß ich dem Server noch virtuelle IP-Adressen geben?
die Regel bekomme ich jetzt rein, aber leider kommt nichts durch. Greift sich die Firewall automatisch anfragen an die exteren Adresse oder muß ich dem Server noch virtuelle IP-Adressen geben?
-
andi
Re: Destination NAT konfigurieren
Hast Du im FORWARD Chain irgendwelche Filterrules?
Sind die nötigen Module geladen?
Falls Du logging eingerichtet hast, was sagt er denn?
Sind die nötigen Module geladen?
Falls Du logging eingerichtet hast, was sagt er denn?
-
Markus
Re: Destination NAT konfigurieren
Keine Rules in der FORWARD Chain.
Wie lädt mn Module und welche sind nötig?
Wie lädt mn Module und welche sind nötig?
-
andi
Re: Destination NAT konfigurieren
Ohne Filterregeln würde ich sagen, ip_tables und ipt_nat.
Laden mit:
modprobe ipt_nat
modprobe ip_tables
Mit lsmod kann man überprüfen, welche Module gelanden sind.
Laden mit:
modprobe ipt_nat
modprobe ip_tables
Mit lsmod kann man überprüfen, welche Module gelanden sind.
-
andi
Re: Destination NAT konfigurieren
Hallo!
Hast Du
echo "1" > /proc/sys/net/ipv4/ip_forward
schon ins script reingeschrieben?
Und in die Forward Chain würde ich durchaus Rules hinzufügen, um die ganze Sache ein wenig abzusichern...
Hast Du
echo "1" > /proc/sys/net/ipv4/ip_forward
schon ins script reingeschrieben?
Und in die Forward Chain würde ich durchaus Rules hinzufügen, um die ganze Sache ein wenig abzusichern...